クライアント管理はConfiguration Managerにお任せを：【徹底解剖】System Center 2012 R2（4）

クライアントを一元管理する重要性

　これまで企業や組織で利用するクライアントOSといえば、ほとんどがWindowsであった。今でもWindowsが主流であることに違いないが、最近は一般的な業務でMac OS（Mac OS X）を利用するケースが見られるようになってきた。さらに、タブレットやスマートフォンなどモバイルデバイス用の各種OSの利用も爆発的に増加している。企業内で利用されるOS／デバイスが多様化し、複数のOS／デバイス環境が混在するようになったことで、運用管理はますます複雑化してきている。

　もちろん、モバイルデバイスという新しい管理対象が登場したのだから、それに合わせて新たな運用管理ツールを導入すればよいという考えもあるだろう。しかし、このようなパッチワーク的な考えで運用管理ツールを導入しても、IT管理者のタスクは増えるばかりだ。

　最悪のケースになると運用管理タスクが増え過ぎて、運用管理のためのマニュアル作りもままならず、「あの作業は○○さんに聞かなければ、分からない」といった事態になりかねない。これでは何のために運用管理ツールを導入しているのか分からないし、根本から課題を解決しているとはいえないだろう。

　こうした企業の運用管理の現状において「System Center 2012 R2 Configuration Manager」（以下、SCCM）は、クライアントの一元的な管理環境を提供し、IT管理者のタスクをシンプルにすることで、結果として運用管理コストの削減に貢献する。

　具体的には、管理対象に対して運用管理コンポーネントを提供することで、1つの管理コンソール画面から全ての管理が完結する。

• Windows、Unix、Linux、Mac OSなど、OSの種類を問わない一元管理
• デバイスの種類（PCとモバイルデバイス）を問わない一元管理
• ユーザーが使用する複数のデバイスを管理
• アプリケーション配布の一元管理
• エンドポイント保護の一元管理

　次からはそれぞれの管理要素について、どのようにして一元管理を実現するかを確認していこう。

OSの種類を問わない一元管理

　最近、Mac OSのシェアが上昇しているとの報道をよく見かける。実際、筆者の周囲でもビジネス用途のクライアントとしてMac OSを利用するユーザーは増えてきている。サーバーOSでは、Windows Serverが圧倒的なのだが、まだまだLinux系OSを利用しているところも多い。これらが意味することは、IT管理者が管理すべきOSは1つではないということである。

　SCCMはマイクロソフトの運用管理ツールであるため、管理対象OSもWindowsオンリーと思っている人も多いかもしれない。最新のSCCMではWindowsの他、Unix、Linux、Mac OSと、企業で利用される機会の増えているさまざまなOSに対応している（図1）。

図1　SCCM（とWindows Intune）によるクライアント管理

　OSの展開などで、Unix、Linux、Mac OSで一部サポートしない機能もあるが、インベントリ収集、ソフトウェア配布、パッチ管理、ポリシー管理など、Windowsクライアントとほぼ同じ機能をUnix、Linux、Mac OSにも提供している。

　LinuxとMac OS用のSCCMクライアントはマイクロソフトのWebサイトで提供されており、ダウンロードしたセットアッププログラムをそれぞれのコンピューターにインストールすることで、SCCMサイトシステム配下のコンピューターとして管理できるようになる（図2）。

• Microsoft System Center 2012 R2 Configuration Manager − その他のオペレーティングシステム用クライアント（Microsoft Download Center）

図2　Mac OSにSCCMクライアントをインストールした様子

モバイルデバイスの一元管理

　SCCMでは、クラウドベースの運用管理サービス「Windows Intune」と連携することで、モバイルデバイスの運用管理が可能になる（前出の図1）。なぜ、SCCMから直接管理しないのか、と疑問に思う方もいるだろう。これは、モバイルデバイスは持ち運ぶ機会が多く、外出先からでも運用管理サーバーとの通信が必要になることが多いために、いつでも、どこでも管理が可能なクラウドのWindows Intuneを経由する構成になっている。

　SCCMとは別にWindows Intuneを利用すると、ライセンス費用の増加が心配になるかもしれない。だが、安心してほしい。Windows IntuneのライセンスにはSCCMのCAL（Client Access License）が含まれているので、事実上、1つのライセンスでSCCMとWindows Intuneの両方を利用することができる。

　モバイルデバイスの管理機能に話を戻そう。SCCMとWindows Intuneは、Windows 8／8.1／RT／RT 8.1、iOS、Androidをサポートしており、デバイスを管理するための登録作業には「Windows Intuneポータルサイト」と呼ばれるアプリを使用する。アプリはそれぞれのストア（Windowsストア、App Store、Google Play）で提供されており（Windows用はMicrosoft Download Centerでも）、ユーザー自身がダウンロードとインストール、Windows Intuneへの登録を行うことができる（図3）。

■Windows Intuneポータルサイトアプリ

• Microsoft Download Center（Windows 8／Windows 8.1／Windows RT／Windows RT 8.1）
• App Store（iOS 6.0以降）
• Google Play（Android 4.0以降）

図3　Google Playストアで公開されている「Windows Intuneポータルサイト」アプリ

　Windows Intuneに登録されたデバイスは、SCCMの管理コンソールから確認することができる。登録が完了したデバイスは、SCCMからインベントリ情報の確認、各種ポリシーの設定やソフトウェアの配布ができるようになる（図4）。

図4　管理対象であるiPadをSCCMの管理コンソールから確認している様子

　モバイルデバイスを紛失した場合には、IT管理者にはおなじみの遠隔地からデータを消去する「リモートワイプ機能」が利用可能だ。SCCMのリモートワイプには、「フルワイプ」と「セレクティブワイプ」の2つの方法が用意されている。

　フルワイプではデバイス内の全てのデータを消去し、iOSとAndroidデバイスに対して実行できる。セレクティブワイプではVPN（Virtual Private Network）、Wi-Fiプロファイル、証明書データ、ポリシー設定など、SCCMで配布したデータだけを削除するので、BYOD（Bring Your Own Device）で個人所有デバイスをSCCMで管理している場合など、プライベートなデータを消去すると問題になる場面で利用できるだろう。

　なお、Windows 8.1は、PCとしてSCCMから直接管理する方法と、モバイルデバイスとしてWindows Intune経由で管理する方法の両方ができる。Windows 8.1デバイスの用途に合わせて、どちらの方法で管理するかは選択するとよいだろう。

アプリケーション配布の一元管理

　運用管理ツールの対象がWindowsだけだった頃、アプリケーションを展開するには、セットアッププログラムであるexeファイルやmsiファイルを配布できればよかった。しかし、現在は利用するOSが多様化し、デバイスも多様化している時代。多種多様なアプリケーションを配布できる環境が求められている。

　SCCMではWindows用のセットアッププログラムだけでなく、アプリケーションの仮想化で使用されるApp-Vパッケージの配布、Windowsストア、App Store、Google Playのようなアプリストアから提供されるアプリの配布、サイドローディングと呼ばれる自社開発したモバイルデバイス用アプリの配布をサポートし、アプリケーション配布の多様化にも対応している（図5）。

図5　SCCMから配布可能なアプリケーション種類の一覧

　ちなみに、各ストアから提供されるアプリに関しては、SCCMやWindows Intuneから直接配布するのではなく、ストアへのリンクを配布する。モバイルデバイス上では、配布されたリンクをクリックして、アプリをダウンロード、インストールする仕組みになっている。

ユーザー主導の一元管理

　これまで、多くの運用管理製品では「デバイス単位」で管理を行ってきた。実際、「デバイス＝ユーザー」であったため、デバイスに対して会社のルールを適用する管理手法は、そのままユーザーに会社のルールを当てはめることを意味していた。

　しかし、最近は、1人に1台のデバイスではなく、1人で複数のデバイスを使用して仕事を行うケースも多くなってきている。こうなると「デバイス＝ユーザー」ではなくなり、デバイス単位で会社のルールを適用しても、ユーザーが別のデバイスを使えば、違うルールやポリシーが割り当てられる可能性が出てくる。これはIT管理者の意図するところではないだろう。このように考えると、これからの運用管理製品に求められる管理手法は、デバイス単位ではなく、ユーザー単位としていく方が適切なのではないだろうか。

　こうしたことを踏まえて、SCCMでは従来のデバイス単位に加え、ユーザー単位での運用管理手法をサポートしている。例えば、アプリケーションを配布する場合、デバイスに対してアプリケーションをインストールする設定にしていると、ユーザーが異なるデバイスを利用したときに、今まで使えていたアプリケーションが利用できなくなるという問題が起きる。

　そこで、ユーザーに対してアプリケーションを配布するようにしておけば、デバイスが変わっても使うユーザーが同じであればアプリケーションはインストールされるため、デバイスの違いを意識することなく、仕事に集中することができる。

エンドポイント保護の一元化

　マルウェア対策（ウイルス対策）も運用管理の重要な要素の1つだが、一元化が難しいコンポーネントであった。

　実際、Windows、Linux、Mac OSで別々のマルウェア対策ソフトウェアを利用し、運用管理もバラバラに行われていたケースが多かった。SCCMでは「Forefront Client Security」から提供されてきたマルウェア対策ソフトウェア「System Center Endpoint Protection」を機能の一部として提供する。しかも、Windows、Linux、Mac OSを全てサポートしているので、OSの違いを意識することなく、SCCMで一元的にマルウェア対策を行えるようになる。

　SCCMは他のSystem Centerコンポーネントとは異なり、社内のサーバーやクライアントデバイスの管理にフォーカスしている。そして、SCCMの中心となる考え方は“一元管理”であり、さまざまなテクノロジの台頭によって生じた管理の複雑性に対応したソリューションになっている。

　今回は、中でも異なるOSの一元管理、異なるデバイスの一元管理、アプリケーション配布の一元管理、ユーザー単位での一元管理、エンドポイント保護の一元管理、とさまざまな場面での一元管理を確認し、それによるメリットを確認した。複数のツールの導入によって複雑化した運用管理体制を見直すきっかけとして、SCCMを検討するのも1つの考えだろう。